Leitfaden IT-Compliance. Rechtsfragen Informationssicherheit und IT-Datenschutz

Größe: px
Ab Seite anzeigen:

Download "Leitfaden IT-Compliance. Rechtsfragen Informationssicherheit und IT-Datenschutz"

Transkript

1 Rechtsfragen Informationssicherheit und IT-Datenschutz

2 Inhalt I. Informationssicherheit Alles was Recht ist! 3 II. Was ist IT-Compliance? 4 III. Gefährdungsszenario - Bedrohungsanalyse 5 IV. Datenschutz und Mitarbeiterkontrolle 7 1. Die Novellierung des BDSG Überblick Arbeitnehmerdatenschutz und Kontrolle Informationspflicht bei Datenpannen Auftragsdatenverarbeitung 9 2. Private Nutzung, Fernmeldegeheimnis Datenschutzkonformes https-scanning Interessensausgleich durch rechtliche Gestaltung Mitbestimmung der Betriebs- und Personalräte 13 V. IT-Haftung Mit Sicherheit Recht behalten! Ermittlungsverfahren und Auskunftspflichten Vorratsdatenspeicherung Gastzugang Maßnahmenkatalog zur Vermeidung Organisationspflichten Störerhaftung im Netzwerk, offene W-LAN Szenario und Rechtsfolgen Eigenhaftung der IT-Verantwortlichen 18 VI. Mobile Security Szenario Technische Schutzmaßnahmen Nutzungsrichtlinien (Policy, Betriebsvereinbarung) 21 VII. Revisionssichere -Archivierung Handelsrechtliche Aufbewahrungspflichten Steuerrechtliche Aufbewahrungspflichten Aufbewahrungsfristen Sanktionen bei Verstößen Aufbewahrungsgrundsätze nach GoBS und AO Elektronische Betriebsprüfung nach GDPdU Elektronische Rechnungen Archivierung im Eigeninteresse 25 VIII. Risikomanagement und IT-Compliance KonTraG - Haftung der Geschäftsleitung Anerkannte Standards und Zertifizierung Euro-SOX und BilMoG 27 I. Informationssicherheit Alles was Recht ist! IT-Sicherheit ist als technisch dominierte Disziplin elementarer Bestandteil der Informationssicherheit, wobei letztere wesentlich umfassender aufgestellt ist. Informationssicherheit erfordert über die technische Sicherheit hinaus in starkem Umfange organisatorische Maßnahmen (z.b. Policies, Nutzungsrichtlinien, Schulung, Kontrollmaßnahmen, Zertifizierungen) und zwingend auch die Einhaltung und Gestaltung rechtlicher Rahmenbedingungen (z.b. durch Verträge oder Betriebsvereinbarungen). Informationssicherheit ist also eine ganzheitliche Aufgabe, deren technische, organisatorische und rechtliche Komponenten in enger Wechselbeziehung miteinander verzahnt sind. Überdacht wird das System von einem gesetzlich verbindlichen Risikomanagement, das die Leitungsebene des Unternehmens verantworten und umsetzen muss. Daraus ergibt sich eine ausgeprägte Ganzheitlichkeit der Informationssicherheit. Aufgabe des vorliegenden IT-Compliance-Leitfadens ist die zusammenfassende Darstellung der rechtlichen Komponente der Informationssicherheit RA Horst Speichert 2010 RA Horst Speichert 3

3 II. Was ist IT-Compliance? IT-Compliance ist nicht nur ein Marketing-Schlagwort, sondern erfordert konkrete Maßnahmen rechtlicher, organisatorischer und technischer Art. Der Begriff bedeutet allgemein gesprochen die IT-spezifische Rechtskonformität, also die Einhaltung rechtlicher Vorgaben im IT-Umfeld. Damit verbunden ist die Etablierung von Prozessen und Verfahren zur Erlangung dieser Rechtstreue. Konkret bedeuted IT-Compliance die Konformität mit gesetzlichen Standards Einhaltung der Gesetze, Beachtung der Rechtsprechung Vertragspflichten insbesondere aus Verträgen mit Kunden, Geschäftspartnern, Mitarbeitern etc. (selbstgesetzten) Standards Einhaltung anerkannter Standards wie BSI oder ISO, aber auch der eigenen Policies, Nutzungsrichtlinien, Organisationshandbücher, Arbeitsanweisungen etc. Aus der Blickrichtung der angestrebten Ziele definiert sich IT-Compliance als die wirksame Verhinderung von Informationsverlust Wirtschaftsspionage Unterschlagung, Betrug Falschbilanzierung Korruption Üblicherweise wird unter IT-Compliance die Einhaltung insbesondere der folgenden gesetzlichen Bestimmungen verstanden: KonTraG Deutscher Corporate Governance Kodex SOX COBIT, COSO Basel II konkretisiert durch MaRisk GoBS, GDPdU Vorgaben der Finanzbehörden für die steuerlich relevanten Daten BDSG, insbesondere Vorgaben für die technisch-organisatorische Datensicherheit, 9 BDSG plus Anlage Outsourcing, 11 BDSG Euro-SOX, BilMoG Wobei die Aufzählung bei weitem nicht abschließend ist, sondern nur wichtige Bestimmungen benennt. Die benannten Gesetze sind gleichzeitig auch zentrale Vorschriften aus dem Informations- und Risikomanagement. Der Deutsche Corporate Governance Kodex definiert in Nr : Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und wirkt auf deren Beachtung durch die Konzernunternehmen hin (Compliance) Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen gewährleisten, 2 Abs. 2 BSIG (BSI-Errichtungsgesetz). Im Reigen der IT-Compliance-Gesetze spielt das Bundesdatenschutzgesetz (BDSG) eine der Hauptrollen, insbesondere weil der Persönlichkeitsschutz in den letzten Jahren stark an Bedeutung gewonnen hat. Die Negativpresse in Folge von Datenschutzpannen hat in Ihrem Ausmaß eine Folgewirkung, die für ein Unternehmen existenzbedrohend, zumindest schadensträchtig sein kann. Das BDSG ist zum grundlegend novelliert worden, zum und treten weitere Änderungen in Kraft. Die Kernaussagen der komplexen Änderungen zeit- und praxisnah aufzuarbeiten, ist Aufgabe jedes IT-Verantwortlichen und Datenschutzbeauftragten. Wir tun dies vorliegend in einem eigenen Kapitel. Auch hier zeigt sich die enge Verzahnung von Technik, Organisation und Recht. III. Gefährdungsszenario - Bedrohungsanalyse In einer großen Aktiengesellschaft arbeitet seit langen Jahren ein qualifizierter Mitarbeiter an einer neuen Technologie zur Produktion von Sonnenkollektoren. Durch den Bau seines Eigenheims gerät der Mitarbeiter in finanzielle Schwierigkeiten, als ein Unbekannter an ihn herantritt und ihm größere Geldbeträge für die Herausgabe wichtiger Unterlagen bietet. Einer großen Tageszeitung wird eine DVD mit zehntausenden von sensiblen Kundendaten eines Finanzdienstleisters zugespielt. Die anschließende Berichterstattung in Presse und Neuen Medien zieht sich über Wochen hin. Der Vertrauensverlust in der Öffentlichkeit ist so groß, dass aufgrund von Umsatzeinbußen das Quartalsergebnis nach unten korrigiert werden muss. Um künftig gegen undichte Stellen besser geschützt zu sein, entschließt sich ein Unternehmen, alle und Internetverbindungen der Mitarbeiter heimlich zu überwachen. Nachdem die Angelegenheit durch investigativen Journalismus aufgedeckt wurde, muss der Vorstandsvorsitzende zurücktreten. Aus einem Medien-Bericht: Staatsanwaltschaft Köln ermittelt gegen ca P2P-Nutzer. Rund 130 Durchsuchungen wurden im Rahmen einer koordinierten Aktion heute zeitgleich im gesamten Bundesgebiet durchgeführt. Zahlreiche PC`s und andere Beweismittel wurden beschlagnahmt. Ein langjähriger Abteilungsleiter ahnt, dass er im Zuge der Wirtschaftskrise die betriebsbedingte Kündigung erhalten wird. Seine Verärgerung hierüber ist verständlicherweise groß. Als Abschiedsgeschenk möchte er deshalb seinem treulosen Arbeitgeber einen Trojaner hinterlassen, welcher die Server lahm legen soll. Der deutsche Mittelstand ist weltweit führend, zeichnet sich durch ein hohes Maß an Innovationskraft aus und ist deshalb der größte Know-how-Träger der deutschen Wirtschaft: Keine Kleinstadt ohne Weltmarktführer. Der enorme Leistungsdruck führt zur Vernachlässigung notwendiger Sicherheitsbedürfnisse, weshalb gerade der Mittelstand zu den leichten Zielen weltweiter Wirtschaftsspionage gehört. Schließlich verlangt das BSI-Errichtungsgesetz in seiner gesetzlichen Definition: IT-Sicherheit meint Sicherheitsvorkehrungen und die Einhaltung von Sicherheitsstandards, welche die RA Horst Speichert 2010 RA Horst Speichert 5

4 IV. Datenschutz und Mitarbeiterkontrolle Die Rechtslage im Datenschutz ist ständig im Fluss, wie drei aktuelle Novellierungen des BDSG im Jahr 2009 belegen. Illegale Vorgänge gebieten Kontrollmaßnahmen, während zugleich jeder Mausklick überwachbar wird und der gläserne Mitarbeiter droht. Fast täglich werden neue Datenschutzskandale in den Medien veröffentlicht, die große Imageschäden verursachen. Die vorausgeeilte Technik ist durch technisch-organisatorische Maßnahmen und rechtliche Regulierung wieder einzufangen. 1. Die Novellierung des BDSG Das Bundesdatenschutzgesetz wurde und wird durch drei Novellierungen zum , zum und zum grundlegend erneuert. 1.1 Überblick Neu im BDSG sind insbesondere Regelungen zu neuer Arbeitnehmerdatenschutz, Verhaltenskontrolle, 32 BDSG Informationspflicht bei Datenpannen/ unrechtmäßiger Kenntniserlangung nach 42a BDSG Neuregelung der Auftragsdatenverarbeitung nach 11 BDSG Stärkung der Stellung des Datenschutzbeauftragten nach 4f Abs. 3 Sätze 5 bis 8 BDSG: verstärkter Kündigungsschutz, nur fristlose Kündigung nach 626 BGB Anspruch auf Fort- und Weiterbildungsveranstaltungen ausdrücklich verankert Neuregelung zu Listenprivileg und Adresshandel, 28 BDSG Neufassung der Bußgelder nach 43 BDSG Erhöhung der Bußgeldtatbestände Geldbuße soll den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen Die Neuregelungen traten überwiegend am 1. September 2009 in Kraft, vorbehaltlich der Übergangsregelung in 47 BDSG. 1.2 Arbeitnehmerdatenschutz und Kontrolle Die Datenschutzskandale der jüngsten Vergangenheit werfen die Frage nach einer datenschutzkonformen Kontrolle von Mitarbeiten auf, insbesondere im Lichte des neuen 32 BDSG sowie bei erlaubter Privatnutzung von und Internet. Notwendige Datenbankabgleiche, Mitarbeiterscreening oder die Auswertung von Protokolldateien sind künftig nur unter geänderten Rahmenbedingungen möglich. Welche Kontrollmaßnahmen noch zulässig oder - z.b. aus Gründen der Korruptionsbekämpfung - sogar vorgeschrieben sind, bedarf der Klärung. Nach 32 Abs. 1 Satz 2 BDSG dürfen zur Aufdeckung von Straftaten personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende, tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, und die Kontrollmaßnahme verhältnismäßig ist RA Horst Speichert 2010 RA Horst Speichert 7

5 Hieraus ergeben sich also insgesamt vier Voraussetzungen: konkreter Verdacht gegen einen bestimmten Mitarbeiter tatsächliche Anhaltspunkte, die den Verdacht begründen Dokumentationspflicht bezüglich dieser Anhaltspunkte Verhältnismäßigkeit der Kontrollmaßnahme Die IT- und Datenschutzverantwortlichen sind also gehalten, im Unternehmen einen Prozess zu etablieren, der die Prüfung eines konkreten Verdachts sowie der Verhältnismäßigkeit einschließt und die Dokumentation der konkreten Verdachtsmomente beinhaltet. Nach 32 Abs. 3 BDSG sind die Betriebsund Personalräte an diesen Prozedere zu beteiligen. Zu beachten ist dabei, dass die Regelung zur Verhaltenskontrolle nach 32 Abs. 1 Satz 2 BDSG nur die Aufdeckung von Straftaten betrifft. Damit bleibt die Vorgehensweise bei Verdacht auf eine bloße Arbeitspflichtverletzung unterhalb der Strafbarkeitsgrenze offen. Zu empfehlen ist aber eine einheitliche Vorgehensweise für Straftaten und Arbeitspflichtverletzungen. 1.3 Informationspflicht bei Datenpannen Völlig neu in das BDSG aufgenommen wurde in 42a BDSG eine Informationspflicht der datenverarbeitenden Stelle bei unrechtmäßiger Kenntniserlangung Dritter. Hier reagiert der Gesetzgeber auf die Vorfälle in jüngster Zeit und regelt Rechtsfolgen bei Datenpannen. Werden besonders sensible Daten, u.a. besondere Daten nach 3 Abs. 9 BDSG, unrechtmäßig übermittelt oder sind auf sonstige Weise Dritten zur Kenntnis gelangt, so hat das Unternehmen die zuständige Aufsichtsbehörde und die Betroffenen unverzüglich zu informieren. Die Mitteilung muss aufklären über die Art der unrechtmäßigen Kenntniserlangung und Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen enthalten. 1.4 Auftragsdatenverarbeitung Neu geregelt wurde auch die Einschaltung von Dienstleistern, sofern es um die Verarbeitung personenbezogener Daten im Auftrag geht. Der Vertrag mit dem Dienstleister ist zwingend in Schriftform abzuschließen und muss nach dem Punktekatalog des 11 Abs. 2 BDSG insbesondere Regelungen enthalten zu Gegenstand und Dauer des Auftrags Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, Art der Daten und Kreis der Betroffenen technisch-organisatorische Maßnahmen nach 9 BDSG Berichtigung, Löschung und Sperrung von Daten Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers mitzuteilende Verstöße gegen Datenschutzvorschriften Umfang der Weisungsbefugnisse des Auftraggebers Rückgabe Datenträger und Löschung der Daten Betroffen sind nicht alle personenbezogenen, sondern nur besonders sensible Daten, hierzu gehören Daten nach 3 Abs. 9 BDSG, also insbesondere Daten über ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben Bank- oder Kreditkartendaten Berufsgeheimnisse Daten über strafbare Handlungen oder Ordnungswidrigkeiten Die Mitteilungspflicht besteht nur, wenn schwerwiegende Beeinträchtigungen für die Rechte oder Interessen der Betroffenen drohen. In der Folge muss die Mitteilung gegenüber der Aufsichtsbehörde und den Betroffenen unverzüglich, also ohne jede Verzögerung erfolgen. Ein Unternehmen tut also gut daran, bereits präventiv ein Prozedere für den Fall einer Datenpanne zu entwickeln, um bei eintretender Mitteilungspflicht schnell und richtig reagieren zu können. Andernfalls sind gravierende Imageschäden für die betroffenen Unternehmen zu befürchten. Verstöße und hierzu gehört auch eine zu späte Mitteilung sind mit hohen Bußgeldern belegt RA Horst Speichert 2010 RA Horst Speichert 9

6 Detailliert geregelt wurde auch eine Kontrollpflicht beim Dienstleister. Der Auftraggeber hat sich gemäß 11 Abs. 2 Satz 4 BDSG vor Beginn der Datenverarbeitung (also vor Vertragsschluss) und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das bedeutet nicht zwingend eine Vorortkontrolle, sondern kann auch durch die Vorlage geeigneter Unterlagen des Dienstleisters umgesetzt werden. Das Ergebnis ist zu dokumentieren. Durch die Neuregelung beurteilt sich der Arbeitnehmerdatenschutz künftig nach 32 BDSG, der den bisher anwendbaren 28 Abs. 1 BDSG verdrängt. Werden Daten eines Beschäftigten für Zwecke des Arbeitsverhältnisses erhoben, verarbeitet oder genutzt, findet 28 Abs. 1 BDSG keine Anwendung mehr. Speziell eine Verhaltenskontrolle zur Aufdeckung von Straftaten des Beschäftigten ist nach 32 Abs. 1 Satz 2 BDSG nur noch zulässig, wenn Eine Übergangsregelung greift hier nicht, sondern die Neuregelung der Auftrags-DV gilt auch für Altverträge ab In der Konsequenz ist eine Anpassung der Altverträge erforderlich, da bei Verstößen ein Bußgeld von bis zu ,-- droht. 2. Private Nutzung, Fernmeldegeheimnis Für den Datenschutz stellt sich zunächst die Ausgangsfrage, ob der Arbeitgeber die private Nutzung erlaubt oder verboten hat. Bei erlaubter Privatnutzung wird der Arbeitgeber zum Telekommunikationsanbieter, da die Möglichkeit des Arbeitnehmers zur Privatnutzung von oder Internet als Dienstleistung einzustufen ist. Daraus resultiert die Geltung des Fernmeldegeheimnisses, da sich der tatsächliche Anhaltspunkte einen konkreten Verdacht gegen den Beschäftigten begründen und eine diesbezügliche Dokumentationspflicht erfüllt wurde. Für andere Zwecke können auch im Verhältnis Arbeitgeber zum Beschäftigten die übrigen Vorschriften des BDSG oder andere Gesetze weiterhin zur Anwendung kommen. Dazu gehören insbesondere die Regelungen über die Datenverarbeitung zur Wahrung berechtigter Interessen des Arbeitgebers nach 28 Abs. 1 Nr. 2 BDSG. Will also z.b. der Arbeitgeber s aus betrieblichen Interessen an einen Stellvertreter weiterleiten, weil der Postfachinhaber krank geworden ist und die Kontinuität der Kommunikation/ Kundenbetreuung gewahrt werden soll, so beurteilt sich dies nach 28 Abs. 1 Nr. 2 BDSG. Eine Einsicht oder Weiterleitung der dienstlichen s ist demnach nur zulässig, wenn aufgrund einer Güterabwägung nach dem Verhältnismäßigkeitsprinzip die Maßnahme erforderlich und angemessen ist. In diese Gesamtabwägung der relevanten Belange sind alle beteiligten Interessen mit einzubeziehen. Daraus ergibt sich die grobe Faustformel, dass äußere Verbindungsdaten wie URL, Empfänger- oder Absenderadresse grundsätzlich eingesehen werden dürfen, Inhaltskontrollen, wie das Mitlesen von s oder den Eintragungen des Arbeitnehmers auf den Webseiten, aber grundsätzlich unzulässig sind. 4. Datenschutzkonformes https-scanning Die gleichzeitige gesetzliche Forderung nach Verschlüsselung auf der einen und Virenschutz auf der anderen Seite, etwa in Anlage zu 9 BDSG, erzeugt einen technischen Widerspruch, da verschlüsselte Verbindungen nicht ohne weiteres auf Viren oder Schadsoftware untersucht werden können. Arbeitnehmer auf die Vertraulichkeit der privaten Kommunikation verlassen darf. Archivierungs- oder Kontrollmaßnahmen unter dem Regime des Fernmeldegeheimnisses sind aus Datenschutzgründen problematisch. 3. Dienstliche Nutzung, Privatnutzungsverbot Ist dagegen die Privatnutzung verboten und nur eine dienstliche Nutzung möglich, kommt das Fernmeldegeheimnis nicht zur Anwendung. Die dienstliche Nutzung steht jedoch unter dem Schutz des Bundesdatenschutzgesetzes (BDSG). Zwar sind hier weitergehende Datenerhebungen und Kontrollen als unter dem Fernmeldegeheimnis möglich, trotzdem besteht kein schrankenloser Freibrief zur Einsicht in Protokolldateien oder s. Immer mehr Missbrauch und Schadsoftware erfolgt über https und erzeugt so ein Sicherheitsvakuum. Das technisch unbestritten notwendige https-scanning muss datenschutzkonform betrieben werden. Dies erfordert zunächst die Vermeidung von möglichen Straftatbeständen 202a StGB, Ausspähen von Daten 206 StGB, Bruch des Fernmeldegeheimnisses Ordnungswidrigkeit nach 43 BDSG Insbesondere darf der Scanvorgang nicht zur Kenntnisnahme der Inhalte führen, muss also in einer Blackbox ablaufen RA Horst Speichert 2010 RA Horst Speichert 11

7 Zulässigkeitsvoraussetzungen: Anlass für das Scannen muss ein konkretes Gefährdungspotential sein, also in erster Linie der Virenschutz sowie die Abwehr vergleichbarer Schadsoftware die Notwendigkeit sonstige Filtermaßnahmen (z.b. das URL-Filterung) rechtfertigen das Scannen nicht die Maßnahme muss erforderlich sein zur Gefahrenabwehr, z.b. um das Eindringen von Viren oder Schadsoftware zu verhindern Möglichkeiten zu optionalen Ausnahmen, besonders sensible https-verbindungen, etwa das Online-Banking, vom Scanvorgang auszunehmen, sind zu nutzen die Entschlüsselung, der Scanvorgang, die Virenfilterung und das erneute Verschlüsseln müssen in einem geschlossenen System ablaufen Scanvorgang und Anti-Viren-Software arbeiten in einer Blackbox, führen also nicht zur Kenntnisnahme von Inhalten durch Administratoren oder sonstige Dritte Zusätzliche optionale Maßnahmen, welche die juristische Sicherheit erhöhen: deutliche Hinweise gegenüber dem Nutzer vor dem Scanvorgang Einwilligung des Nutzers schriftlich nach 4a BDSG in Nutzungs- oder Betriebsvereinbarung in elektronischer Form nach 13 TMG, 94 TKG 5. Interessensausgleich durch rechtliche Gestaltung Unabhängig davon, ob Fernmeldegeheimnis oder Bundesdatenschutzgesetz gelten, bedeuten ungeregelte Zustände hinsichtlich der Aufbewahrung und Kontrolle von Daten und Unterlagen ständige rechtliche Unsicherheit, da die Bestimmungen in TKG und BDSG unklar sind. Es herrscht große Verunsicherung bei Arbeitgebern, Administratoren und Arbeitnehmern, da die notwendige Güterabwägung der beteiligten Interessen im Einzelfall alle Betroffenen überfordert. Das Datenschutzrecht eröffnet jedoch nach dem Grundsatz präventives Verbot mit Erlaubnisvorbehalt einen Gestaltungsspielraum, um durch Vereinbarungen legale Handlungsgrundlagen zu schaffen. Nach dem Gesetzeswortlaut besteht zwar zunächst ein generelles Verbot, dass aber durch Vereinbarungen, die als Legitimation wirken, in Grenzen modifiziert werden kann. Solche Vereinbarungen bringen Vorteile für alle Beteiligten. 6. Mitbestimmung der Betriebs- und Personalräte Da die Datenschutzfragen dem Mitbestimmungsrecht im Sinne des Betriebsverfassungsgesetzes und des Personalvertretungsrechtes unterliegen, müssen Betriebs- und Personalräte am Entscheidungsprozess in Form von Vereinbarungen beteiligt werden. Das Mitbestimmungsrecht des Betriebsrates besteht gemäß 87 Abs. 1 Nr. 1 und 6 BetrVG für die Bereiche: Ordnung des Betriebes, Arbeitnehmer-Verhalten technische Kontrolleinrichtungen Für die Ausübung der Mitbestimmung kommen insbesondere der Abschluss von Betriebs- und Dienstvereinbarungen mit entsprechenden Nutzungs- und Kontrollregelungen für die - und Internet-Nutzung in Betracht. Bei der Betriebs-/ Dienstvereinbarung handelt es sich um einen schriftlichen Vertrag zwischen Arbeitgeber und Mitarbeitervertretung, der zur Lösung des Datenschutzproblems geschlossen wird. In Betrieben ab einer Größe von fünf Mitarbeitern sind Betriebsräte und damit Betriebsvereinbarungen möglich. Während der Arbeitgeber den Missbrauch einschränken will, befürchtet der Betriebsrat die Ausforschung der Arbeitnehmer. Personenbezogene Kontrollen sollten möglichst unter Beteiligung des Betriebsrates/ Datenschutzbeauftragten nach dem Vier-Augen-Prinzip erfolgen. Die Betriebs-/ Dienstvereinbarung hat rechtssetzenden Charakter und wirkt modifizierend auf die Inhalte der Arbeitsverträge ein. Im Bereich des Fernmeldegeheimnisses, das auf ein Grundrecht zurückgeht, ist neben Kollektivvereinbarungen die individuelle Zustimmung der beteiligten Arbeitnehmer von Vorteil. Ergänzend zu entsprechenden Betriebs- und Dienstvereinbarungen kann deshalb eine zusätzliche Legitimation und Information durch eine persönliche Zustimmung des betroffenen Arbeitnehmers erfolgen, sofern diese Einwilligung freiwillig erfolgt. Die durch Vereinbarungen geschaffenen klaren Verhältnisse schützen den Administrator vor Strafbarkeit wegen Verstößen gegen das Fernmeldegeheimnis. Sie schaffen Transparenz und Vertrauen bei den Arbeitnehmern, haben aber auch eine Warnfunktion und damit Lenkungswirkung für das Arbeitnehmerverhalten. Sie helfen dem Arbeitgeber bei der Haftungsprävention, da die Erfüllung der Organisationspflichten gesetzlich vorgeschrieben ist RA Horst Speichert 2010 RA Horst Speichert 13

8 V. IT-Haftung Mit Sicherheit Recht behalten! Die IT-Verantwortlichen in Unternehmen und Behörden fragen sich, inwieweit illegale Vorgänge und Inhalte zur Mitverantwortung des Arbeitgebers bzw. der Mitarbeiter und Geschäftsleitung führen. 1. Ermittlungsverfahren und Auskunftspflichten In den letzten Jahren wurden z.b. zehntausende von Strafverfahren wegen illegaler Downloads (Musikfiles) aus P2P- Netzwerken eingeleitet. Es stellt sich die Frage nach einer möglichen Mitverantwortlichkeit des Unternehmens der Geschäftsleitung der IT-Verantwortlichen 2. Vorratsdatenspeicherung Seit ist ein neues Gesetz zur Regelung der TK-Überwachung und anderer verdeckter Ermittlungsmaßnahmen und zur Umsetzung der EU-Richtlinie 2006/24/EG zur Vorratsdatenspeicherung in Kraft. Zweck ist eine effektive Strafverfolgung und Terrorismusbekämpfung. Betroffen ist die gesamte Telekommunikation: , Internet, Mobiltelefonie, SMS, Telefonie, VoIP Öffentlich zugängliche TK-Anbieter sind nach dem neuen 113a TKG verpflichtet, Verbindungs- und Standortdaten 6 Monate lang vorzuhalten. Gegen die Neuregelung bestehen verfassungsrechtliche Bedenken, die jedoch laut Bundesregierung und BVerfG nicht zur Aussetzung des Gesetzesvollzugs führen. Weitere Verfahren sind noch anhängig. für solch illegale und strafbare Inhalte und Vorgänge. Bei strafbarem Verhalten ( z.b. illegale Pornografie, raubkopierte Inhalte) erstatten die Geschädigten verstärkt Strafanzeige. Die Behörden versuchen daraufhin die zur Strafverfolgung notwendigen Daten zu ermitteln. Nach der Rechtsprechung werden Auskunftsansprüche gegen die TK-Anbieter (Provider) z.b. nach 113 TKG oder 101 Abs. 9 UrhG anerkannt. Demnach müssen öffentliche Provider die IP-Adresse herausgeben bzw. die Arbeitgeber anhand der IP-Adresse die persönliche Zuordnung zum konkreten Mitarbeiter vornehmen. Solche Ermittlungen der Behörden oder Rechtsträger bringen die IT-Verantwortlichen in den Unternehmen nicht selten in schwierige Situationen, insbesondere wenn die Identitätsverwaltung beim Arbeitgeber so unzureichend ist, dass die persönliche Zuordnung der IP-Adresse auch den Falschen treffen kann. Je sensibler der verfolgte Straftatbestand ist, desto empfindlicher wird ein zu Unrecht beschuldigter Mitarbeiter reagieren. Denn die persönliche Zuordnung der IP-Adresse und Herausgabe der Daten führt zu unmittelbaren Ermittlungsmaßnahmen gegen den Mitarbeiter. Entscheidende Frage ist, wer zur Vorratsdatenspeicherung gemäß 113a, 113b TKG verpflichtet ist. Nach 113a TKG sind nur öffentlich zugängliche TK-Dienste zur Vorratsdatenspeicherung verpflichtet, denn in der Begründung zum Gesetzentwurf steht: für den nicht-öffentlichen Bereich (z. B. unternehmensinterne Netze, Nebenstellenanlagen oder -Server von Universitäten) besteht keine Speicherungspflicht. Demnach sind geschlossene Benutzergruppen (z.b. Arbeitsplatz, Hotel, Krankenhaus etc.) von der Vorratsdatenspeicherpflicht ausgeschlossen. Nach der Literatur sind aber auch geschlossene Benutzer RA Horst Speichert 2010 RA Horst Speichert 15

9 gruppen mit Außenkontakt (break in break out) als öffentliche Telekommunikation anzusehen, so dass nur die interne Kommunikation ausgenommen wäre. Es besteht also ein erhebliches Maß an Rechtsunsicherheit. 2.1 Gastzugang Unternehmen sind zur Vorratsspeicherung verpflichtet, wenn sie einen öffentlichen Hotspot z.b. als W- LAN-Zugang anbieten. Es müssen also auch für den Gastzugang Passwörter vergeben und Richtlinien gestaltet werden, um die Vorratsdatenspeicherpflicht zu vermeiden. Schutzpflichten orientieren sich an den Verkehrssicherungspflichten. Die Verkehrssicherungspflichten ergeben sich aus einer Vielzahl gesetzlicher und vertraglicher Bestimmungen sowie der Rechtsprechung. Nachfolgend einige Beispiele. Die konkretisierenden Normen werden von der Rechtsprechung als Maßstab für die angemessenen Sicherungserwartungen herangezogen. Der Umfang der Verkehrssicherungspflichten bestimmt sich 2.2 Maßnahmenkatalog zur Vermeidung keine beliebige Neuakquisition von Kunden, sondern nur im Rahmen einer geschlossenen Benutzergruppe mit gemeinsamem Definitionsmerkmal z.b. nur konzernangehörige Unternehmen oder nur Eigenbetriebe und Eigengesellschaften im öffentlichen Bereich Ergänzung der Dienstleistungsverträge um Klauseln, welche die Zweckbindung betont, um den Charakter einer geschlossenen Benutzergruppe zu festigen.h Betrieb von Gast- und Besucherzugängen ebenfalls Wahrung des Charakters einer geschlossenen Benutzergruppe nur für authentifizierte und registrierte Nutzer, keine Nutzung für jedermann/ beliebige Passanten zusätzliche Beschränkung über zeitlich limitierte Kennungen, etwa durch die Ausgabe von Vouchern an der Empfangstheke o.ä. Wahrung der Gebäudegrenzen bei W-LAN Fortlaufende Beobachtung der einschlägigen Rechtsprechung und Stellungnahmen des Gesetzgebers, um frühzeitig zu erkennen, ob sich die Situation ändert. 3. Organisationspflichten Zum besseren Verständnis der Haftungssystematik ist die obergerichtliche Rechtsprechung des Bundesgerichtshofes (BGH) zu den Verkehrssicherungspflichten sowie die Vorgaben des KonTraG für ein verbindliches Risikomanagement zu betrachten. Der BGH spricht im Rahmen der Haftungssystematik von Verkehrssicherungspflichten: wer eine Gefahrenquelle eröffnet oder sich an ihr beteiligt, muss Dritte schützen und hierfür geeignete Schutzmaßnahmen ergreifen Die Kommunikationsvorgänge in Intranet und Internet eröffnen vielfältige Gefahren, sind also Gefahrenquellen im Sinne der Verkehrssicherungspflichten. Diese Verkehrssicherungspflichten bestehen im Wesentlichen aus: Organisationspflichten bezüglich betrieblicher (technischer) Abläufe Aufsichtspflichten des Arbeitgebers gegenüber seinen Mitarbeitern insbesondere nach den Sicherheitserwartungen der beteiligten Verkehrskreise der Marktüblichkeit der Sicherheits-Hardware und Software, z. B. hinsichtlich der notwendigen Update- Intervalle eines Virenscanners der Quantität der Datenverarbeitung der Gefährlichkeit des Tuns dem Prinzip der Verhältnismäßigkeit, also der Erforderlichkeit und Angemessenheit von Maßnahmen der wirtschaftlichen Zumutbarkeit, also der Größe und Leistungsfähigkeit eines Unternehmens Nach der Rechtsprechung ist im gewerblichen Bereich eine zuverlässige, zeitnahe und umfassende Sicherung der IT-Systeme erforderlich. Ansonsten können IT-spezifische Brandherde zur Mitverantwortlichkeit in Unternehmen und Behörden führen. Umgesetzt werden die Pflichten zur Haftungsprävention durch ein Bündel von Maßnahmen, bestehend aus Technik, Nutzungsrichtlinien und rechtlicher Gestaltung. Eine 100%ige Sicherheit kann im Rahmen der Verkehrssicherungspflichten nicht verlangt werden, aber Maßnahmen nach der Verkehrserwartung, die wirtschaftlich zumutbar sind. Auch die vertraglichen RA Horst Speichert 2010 RA Horst Speichert 17

10 4. Störerhaftung im Netzwerk, offene W-LAN Nach der Rechtsprechung sind Betreiber eines offenen W-LAN für urheberrechtswidrige, strafbare Down- bzw. Uploads aus P2P zumindest im Rahmen der Störerhaftung mitverantwortlich. Bei einem offenen W-LAN ohne Passwortschutz ist das System nicht gesichert. So können z.b. strafbare mp3-files missbräuchlich über das offene W-LAN durch externe Dritte heruntergeladen werden. Im Rechtssinne handelt es sich dabei um ein öffentliches Zugänglichmachen von Musikfiles über P2P. Dem Betreiber eines W-LAN obliegen umfangreiche Verkehrssicherungspflichten. Wer seine Internetverbindung drahtlos betreibt, muss für die Sicherung des Netzwerkes sorgen, andernfalls verstößt er gegen zumutbare Prüfungspflichten. Es gibt mittlerweile eine Vielzahl von Entscheidungen, welche die Störerhaftung für unsichere Netzwerke oder Plattformen bejahen. So wurde bereits mehrfach obergerichtlich entschieden, dass für Markenpiraterie auf Internetverkaufsplattformen das Auktionshaus mithaftet. es besteht eine Vorsorgepflicht gegen bekannte Missstände der Einsatz von präventiver Filtersoftware ist laut BGH zumutbare Prüfungspflicht bei eindeutigen Hinweisen (bedingter Vorsatz) besteht Schadensersatzpflicht Die dargestellte Rechtsprechung ist auf unsichere Netzwerke, Systeme oder Plattformen gleichermaßen anzuwenden. 5. Szenario und Rechtsfolgen Überträgt man die dargestellten Haftungssysteme auf die spezielle Situation in der IT, so ergibt sich das nachfolgende Haftungsszenario. 6. Eigenhaftung der IT-Verantwortlichen Die Vermeidung persönlicher Eigenhaftung ist für die handelnden Mitarbeiter, wie etwa IT-Leiter, Sicherheitsbeauftragte, Administratoren, sonstige IT-Verantwortliche, ein entscheidender Faktor. Hierbei ist zwischen der Schadensersatzansprüche des Arbeitgebers wegen Verletzung der arbeitsvertraglichen Nebenpflichten sind in der Praxis nicht häufig, aber möglich. Aufgrund der Fremdbestimmtheit der Arbeitsleistung trägt der Arbeitgeber das Unternehmensrisiko. Für Tätigkeiten mit erhöhtem Risiko gelten deshalb nach der Rechtsprechung des BAG die Grundsätze zur schadensgeneigten Tätigkeit: für vorsätzliches/ grobfahrlässiges Verhalten volle Haftung des Mitarbeiters mittlere Fahrlässigkeit Schadensteilung zwischen Arbeitgeber und Mitarbeiter leichte Fahrlässigkeit keine Haftung des Mitarbeiters Diese Haftungserleichterung für den Mitarbeiter gilt grundsätzlich nur im Verhältnis zum Arbeitgeber. Im Verhältnis zu geschädigten Dritten besteht ein Freistellungsanspruch des Arbeitnehmers gegen den Arbeitgeber. Für eine mögliche Strafbarkeit gilt dagegen der Grundsatz der vollständigen Eigenverantwortung. Ein Arbeitnehmer macht sich also selbst strafbar, die arbeitsvertragliche Haftungserleichterung ist nicht anwendbar. Auch gilt kein Befehlsnotstand, so dass ein Mitarbeiter, der z.b. auf Anweisung seines Vorgesetzten private s liest, nicht allein wegen der Anweisung straflos ist. Mögliche Strafbarkeit - Ordnungswidrigkeit: fahrlässige Verletzung: Ordnungswidrigkeit, bis Bußgeld, der wirtschaftliche Vorteil des Verstoßes soll durch das Bußgeld überstiegen werden Strafbarkeit nach 206 StGB bei Verstößen gegen das Fernmeldegeheimnis bei Übermitteln/ Abrufen gegen Entgelt oder Bereicherungs-/ Schädigungsabsicht liegt eine Straftat nach 44 BDSG vor Nicht von der Haftungserleichterung erfasst sind auch die arbeitsrechtlichen Sanktionen der Abmahnung oder Kündigung, welche bei Pflichtverstößen des Mitarbeiters stets eintreten können. zivilrechtlichen ( Schadensersatz), arbeitsrechtlichen ( Abmahnung, Kündigung) strafrechtlichen ( Geld- oder Freiheitsstrafe) Haftung zu unterscheiden. Aus dem Arbeitsverhältnis treffen grundsätzlich jeden Mitarbeiter sog. arbeitsvertragliche Nebenpflichten Schutz-, Mitwirkungs-, Geheimhaltungs- und Aufklärungspflichten als Sorgfaltsmaßstab gilt ein besonnener Mensch mit durchschnittlichen Fähigkeiten in der Situation des Arbeitnehmers also individuell unterschiedlich: höhere Sorgfaltsanforderungen an leitende Mitarbeiter Beweislast des Arbeitgebers, 619a BGB RA Horst Speichert 2010 RA Horst Speichert 19

11 VI. Mobile Security 1. Szenario Mobile Datenträger mit großer Kapazität, wie Laptop, USB-Sticks etc., gefährden durch Verlust oder Diebstahl die gespeicherten Daten. USB-Sticks sind zu mobilen Micro-Plattformen geworden, die das Booten, die Installation von Software, Schnittstellen ins Internet oder den Betrieb von Webplattformen ermöglichen. Spezielle Anwendungen für USB-Sticks (Browser, -Client, Webserver Apache) komplettieren die Gefährdungslage. Der Betrieb eines ebay-shops aus der Hosentasche ist keine Utopie, sondern machbar. Mit dem Auslesen von Daten oder Einschleusen von Schadsoftware vom oder auf den USB-Stick muss jederzeit gerechnet werden. Somit ist das Potential für die Umgehung von Sicherheitspolicies durch mobile Datenträger sehr groß. Ebenso gefährden unsichere Webportale oder alte Festplatten auf dem Müll, die nicht ordnungsgemäß entsorgt oder überschrieben wurden (DIN 32757), die gespeicherten Daten. Abhilfe versprechen vor allem ganzheitliche Maßnahmen, bestehend aus einer Kombination aus Technik und juristisch-organisatorischen Lösungen. 2. Technische Schutzmaßnahmen Schnittstellenkontrolle (device controle) Verschlüsselung der Daten (integrierte Fingerabdruck-Scanner für USB-Sticks) zu beachten ist, dass Schnittstellenkontrollen als eine besondere Art der Protokollierung dem Datenschutz und der Mitbestimmung unterliegen 3. Nutzungsrichtlinien (Policy, Betriebsvereinbarung) keine Nutzung privater Datenträger (USB-Sticks) im Unternehmen keine Installation und Nutzung privater Software von externen Datenträgern Dienstliche Datenträger mit sensitiven (personenbezogenen) Daten sind im Unternehmen wegzuschließen bei Transport zu verschlüsseln dürfen nicht an externe Rechner angeschlossen werden Anschluss Datenträger (USB-Stick) nur an vorgesehene Rechner (z.b. Vortrags-Laptop) separater Datenträger (USB-Stick) für Anschluss an externe Rechner verantwortlich für die Einhaltung der Regeln ist der Mitarbeiter, dem der Datenträger überlassen wurde die Regeln werden mit dem Datenträger (USB-Stick) ausgehändigt und gegebenenfalls abgezeichnet VII. Revisionssichere -Archivierung Die Umstellung auf elektronische Kommunikationsformen darf nicht darüber hinwegtäuschen, dass die umfangreichen gesetziichen Archivierungspflichten aus dem Handels- und Steuerrecht auch für die elektronische Buchung und den -Verkehr gelten. In Unternehmen und Behörden müssen deshalb auf breiter Front Daten und elektronische Dokumente aufbewahrt werden, um den gesetziichen Anfor RA Horst Speichert 2010 RA Horst Speichert 21

12 derunen zu genügen. Dabei verursachen Archivierungssysteme auch erhebliche Kosten. Die Orientierung an den gesetzlichen Aufbewahrungspflichten zeigt den gemeinsamen Nenner auf und trägt damit zur Kostenvermeidung bei. 1. Handelsrechtliche Aufbewahrungspflichten Jeder Kaufmann (GbR, GmbH, AG usw.) hat nach 257 Abs. 1 HGB die Pflicht zur geordneten Aufbewahrung von geschäftlichen Unterlagen Hierzu gehören Handelsbücher, Inventare, Eröffnungsbilanzen, Jahresabschlüsse, Konzernabschlüsse, Konzernlageberichte, empfangene und versandte Handelsbriefe, Buchungsbelege sowie die erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen. Nicht umfasst sind lediglich Unterlagen aus reinen Privatgeschäften. Dabei ist der Begriff des Handelsgeschäft nach der Rechtsprechung des BGH weit definiert. Es genügt ein entfernter, lockerer Zusammenhang mit betrieblichen Interessen. Definition: Handelsbriefe sind alle Geschäftsunterlagen, die der Anbahnung, Durchführung oder Rückabwicklung von Handelsgeschäften dienen, z. B. Angebot, Annahme, Auftragsbestätigung, Mängelrüge, Arbeitsund Geschäftsverträge, Rechnungen, Kündigung usw. Definition: Buchungsbelege sind alle Unterlagen, die einzelne Geschäftsvorfälle dokumentieren und damit Grundlage der einzelnen Eintragung in die Geschäftsbücher und für die sonstigen Aufzeichnungen sind, 257 Abs. 1 Nr. 4 HGB Nicht nur postalische Briefe, sondern auch s, Faxe, Fernschreiben, Telegramme etc. können Handelsbriefe oder Buchungsbelege sein, wenn sie die genannten Definitionen erfüllen Zur Vereinfachung könnte auch die gesamte Geschäftskorrespondenz als aufbewahrungspflichtig eingestuft werden. 2. Steuerrechtliche Aufbewahrungspflichten Daneben gelten steuerliche Aufbewahrungspflichten bzgl. sämtlicher kaufmännische Unterlagen von oben und sonstiger Unterlagen, soweit sie für die Besteuerung bedeutsam sind, 147 Abs. 1 AO 3. Aufbewahrungsfristen Handels- oder Geschäftsbriefe, sowie alle sonstigen Unterlagen, soweit für die Besteuerung bedeutsam: 6 Jahre Aufbewahrungsfrist, 147 Abs. 3 AO Bücher, Jahresabschlüsse, Buchungsbelege: 10 Jahre Aufbewahrungsfrist, 147 Abs. 3 AO Rechnungen: 10 Jahre Aufbewahrungsfrist, 14b Abs. 1 UStG Fristenlauf: die Frist beginnt erst mit dem Schluss des Kalenderjahres, in dem die Eintragung gemacht, der Handelsbrief versandt wurde etc., läuft also in den meißten Fällen länger als 6 oder 10 Jahre Ablaufhemmung: die Frist läuft nicht ab, so lange die Unterlagen für die Besteuerung von Bedeutung sind, 147 Abs. 3 Satz 3 AO 4. Sanktionen bei Verstößen Die vorsätzliche Verletzung von gesetzlichen Aufbewahrungspflichten ist gemäß 283 Abs. 1 Nr. 6, 283 b Abs. 1 Nr. 2 StGB mit Geldstrafe oder Freiheitsstrafe bis zu 5 Jahren bedroht. Objektive Bedingung für die Strafbarkeit ist gemäß 283 Abs. 6, 283 b Abs. 3 StGB die infolge von Überschuldung erfolgte Zahlungseinstellung, Eröffnung des Insolvenzverfahrens oder Abweisung des Insolvenzantrages mangels Masse. Bei Verletzung der steuerlichen Archivierungspflichten liegt keine ordnungsgemäße Buchführung vor und es droht u.u. eine Schätzung der Besteuerungsgrundlagen nach 162 AO, die in den meisten Fällen zum Nachteil des steuerpflichtigen Unternehmens ausfallen wird. 5. Aufbewahrungsgrundsätze nach GoBS und AO Mit Ausnahme der Eröffnungsbilanzen und Jahresabschlüsse, die in Papierform vorliegen müssen, können die Geschäftsunterlagen auch als Wiedergabe auf einem Bild- oder anderem Datenträger generiert und aufbewahrt werden. Hierfür gelten neben der AO die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) des Bundesfinanzministeriums vom Eine bestimmte Technologie für die einzusetzenden Datenträger ist nicht vorgeschrieben, möglich sind: Bildträger (Mikrofilm, Fotokopie), COM maschinenlesbare Datenträger (Disketten, Magnetbänder, elektrooptische Speichermedien) Dokumenten-Managementsysteme digitale Datenträger (CD-Rom, DVD), 147 Abs. 2 AO Für die Archivierung der elektronischen Unterlagen ( s) gelten verschiedene Grundsätze, die einzuhalten sind: Vollständigkeit ( 146 I AO, 239 II HGB) Richtigkeit ( 146 I AO, 239 II HGB) Zeitgerechtheit ( 146 I AO, 239 II HGB) Unveränderbarkeit ( 146 IV AO, 239 III HGB) Ordnung ( 146 I AO, 239 II HGB) Nachvollziehbarkeit ( 145 I AO, 238 I Satz 2 HGB) 6. Elektronische Betriebsprüfung nach GDPdU Für den Behördenzugriff durch das Finanzamt (Betriebsprüfer) ist sicherzustellen: die jederzeitige Verfügbarkeit und Lesbarkeit, 147 Abs. 5 AO es besteht: Vorlagepflicht des Steuerpflichtigen auf Verlangen der Behörde Kostentragungspflicht des Steuerpflichtigen RA Horst Speichert 2010 RA Horst Speichert 23

13 Außenprüfung durch Behörde möglich, Einsichtnahme im System des Steuerpflichtigen: nur Lesezugriff, keine Fernabfrage (Online-Zugriff) es gelten: die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU), am vom Bundesfinanzministerium erlassen Zugriffsmöglichkeiten nach der GDPdU bei elektronischer Betriebsprüfung: Beweislast im Prozess: bei Verletzung von Aufbewahrungspflichten nach 444 ZPO durch Beseitigung von Beweisunterlagen wird ohne Beweisverfahren der vom Gegner behauptete Vortrag als bewiesen angesehen Voraussetzung einer ordentlichen Geschäftsführung ist grundsätzlich die Erfüllung von Aufbewahrungs- und Archivierungspflichten - etwa die gesamte geschäftlich bedeutsame -Korrespondenz, Protokolle von Meetings, Entwürfe und Notizen aller Art etc. die im juristischen Streitfalle gebraucht werden könnten. Z1: Unmittelbarer Zugriff Inhouse-Prüfung unmittelbar im System des Steuerpflichtigen Z2: Mittelbarer Zugriff Das Unternehmen oder ein beauftragter Dritter werten die Daten nach Vorgaben des Prüfers aus. Z3: Datenträgerüberlassung Überlassung der Daten an den Prüfer auf einem geeigneten Medium Wichtig: Es besteht freie Wahlmöglichkeit des Betriebsprüfers zwischen den verschiedenen Zugriffsmöglichkeiten, die er auch kumulativ ausüben kann. Ein Zugriffsrecht der Finanzverwaltung besteht jedoch nur bezüglich steuerrechtlich relevanter Unterlagen. Es dürfen also auch nicht zu viele Daten und Unterlagen zur Verfügung gestellt werden. Für die notwendige Trennung der Daten und Unterlagen ist das steuerpflichtige Unternehmen verantwortlich. 7. Elektronische Rechnungen Der Vorsteuerabzug bei elektronischen Rechnungen ist nur mit einer qualifizierten digitalen Signatur nach 2 Abs. 1 Nr. 2 SigG möglich. Die übliche Geschäftspraxis bloße pdf-rechnungen zu versenden oder x-beliebige Signaturen zu verwenden ist nicht ausreichend. In solchen Fällen sollte der Rechnungsempfänger eine postalische oder faxalische Rechnung nachfordern. Auch ein IP-Fax ist nicht ausreichend für den Vorsteuerabzug, erforderlich ist vielmehr ein sogenanntes Standard-Faxgerät, also ein klassisches Faxgerät bei Absender und Empfänger. Die möglichen Folgen bei Nichtbeachtung dieser Maßgaben sind erheblich. Es können hohe Schäden eintreten, wenn die gezogene Vorsteuer vom Betriebsprüfer aberkannt wird und nachgezahlt werden muss. Überdies wird eine elektronische Rechnung, die den Vorsteuerabzug nicht ermöglicht, beim Kunden (=Rechnungsempfänger) zu großer Unzufriedenheit führen. 8. Archivierung im Eigeninteresse Neben Handels- und Steuerrecht existieren eine ganze Reihe weiterer Aufbewahrungspflichten. Nachfolgend seien nur einige beispielhaft aufgezählt: Aufbewahrungspflichten enthalten alle gesetzlichen Bestimmungen, die Ansprüche auf Auskunft und Rechnungslegung gewähren, so etwa 259, 666, 667 BGB VIII. Risikomanagement und IT-Compliance IT-Compliance, also die Einhaltung gesetzlicher Bestimmungen, vertraglicher Pflichten und anerkannter Standards, ist nicht nur ein Marketing-Schlagwort, sondern erfordert konkrete Maßnahmen. 1. KonTraG - Haftung der Geschäftsleitung Die Unternehmensleitung von Kapitalgesellschaften (z.b. AG, GmbH) hat für ein wirksames Risikomanagement-System zu sorgen. Im KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) schreibt der Gesetzgeber Sicherungsmaßnahmen vor, nach denen ein Überwachungssystem einzurichten ist, das bestandsgefährdende Entwicklungen frühzeitig erkennt. Dieses Frühwarnsystem erfordert u.a. eine präventive Überwachung und Erkennung von Fehlentwicklungen in der IT-Sicherheit. Auch das BSI verweist in seinen Standards ausdrücklich auf die Vorgaben des KonTraG. Das KonTrag ist ein Eingriff des Gesetzgebers in die Corporate Governance (=Führung und Überwachung) des Unternehmens. Zweck des KonTraG: Verpflichtung des Vorstands zu Risikomanagement Risikomanagement = Risiko-Klassifizierung und -Controlling Früherkennung von gefährlichen Schieflagen = Frühwarnsystem präventive Überwachung und Erkennung von Fehlentwicklungen, z.b. im Bereich Viren, illegale Inhalte, IT-Sicherheit es soll die Prüfung von Unternehmen erleichtern für Anleger und Wirtschaftsprüfer Der Vorstand hat nach 91 Abs. 2 AktG geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. Nachteilige Folgen bei Verstößen: Persönliche Haftung des Vorstands mit dem eigenen Vermögen keine Entlastung des Vorstands: das LG München hat am entschieden, dass der Vorstand bei Verstößen gegen das Risikofrüherkennungssystem nicht entlastet werden darf Vorlegungspflichten im Prozess: bei Verletzung von Aufbewahrungspflichten droht Prozessverlust; bei Fristsetzung des Gerichts muss ein rechtzeitiger Zugriff auf die Archivdaten gewährleistet sein, ansonsten droht Präklusion bezüglich der Darlegungs- und Beweismöglichkeiten RA Horst Speichert 2010 RA Horst Speichert 25

14 2. Anerkannte Standards und Zertifizierung Effektivster Schutz vor persönlicher Haftung und Organisationsverschulden ist die Nachweisbarkeit der geprüften Sicherheit nach außen, etwa für Anforderungen von Dritten wie: Wirtschaftsprüfer (KonTraG) Kreditgeber (Basel II), denn IT-Sicherheit ist Rating-Faktor im Rahmen von Basel II Interne Revision Anerkannte Standards und Zertifizierungen wie ISO/IEC der erste internationale Standard zum IT-Sicherheitsmanagement, der auch eine Zertifizierung ermöglicht, aber keine Hilfe für die praktische Umsetzung BSI-Standards zur IT-Sicherheit, IT-Sicherheitsmanagement Managementsystem für Informationssicherheit (ISMS) IT-Grundschutz-Vorgehensweise Risikoanalyse auf der Basis von IT-Grundschutz Notfallmanagement ISO Zertifizierung auf der Basis von IT-Grunschutz machen die Schaffung von Informationssicherheit nachprüfbar und führen zu höherer Beweissicherheit und Haftungsentlastung. 3. Euro-SOX und BilMoG Als Reaktion auf Finanzskandale wie Parmalat oder Ahold hat die EU die Richtlinie 2006/43/EG vom 17. Mai 2006 über Abschlussprüfungen von Jahresabschlüssen und konsolidierten Abschlüssen zur Anpassung der 8. EU-Prüferrichtlinie erlassen. Umgesetzt wurde die EU-Richtlinie durch das Bilanzrechtsmodernisierungsgesetz (BilMoG), das inzwischen in Kraft getreten ist. Wirtschaftsprüfer sollen verstärkt die Anforderungen an die Informationssicherheit in den Unternehmen prüfen, weil sie selbst strengeren Kontrollen der Aufsichtsbehörden unterliegen. Die Notwendigkeit eines Internen Kontrollsystems (IKS) wurde durch das BilMoG bestätigt. Über den Autor: Rechtsanwalt, Kanzlei esb Rechtsanwälte in Stuttgart, spezialisiert auf IT-Recht Lehrbeauftragter der Universität Stuttgart für Informationsrecht Seminarleiter Internetrecht, IT-Sicherheit, Datenschutz Ausbilder für Datenschutzbeauftragte, IT-Compliance-Audits, Vertragsgestaltung Fachbuchautor Praxis des IT-Rechts, Vieweg, 2. Auflage Internet: Haftungsausschluss: Check Point übernimmt keine Gewährleistung bzgl. dem Inhalt dieses Dokuments RA Horst Speichert 2010 RA Horst Speichert 27

15 RA Horst Speichert

Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung

Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung KUMAtronik Systemhaus GmbH Vortrag zur symantec-veranstaltung am 24.04.2007 (it.sec) Inhalt: 1. Rechtliche Anforderungen an E-Mails 2. Compliance-Anforderungen

Mehr

Zwischen den Stühlen: Datenschutz, IT-Sicherheit und Aufbewahrungspflichten

Zwischen den Stühlen: Datenschutz, IT-Sicherheit und Aufbewahrungspflichten Zwischen den Stühlen: Datenschutz, IT-Sicherheit und Aufbewahrungspflichten Die Email-Falle RA Thomas Brehm Hamburg Aus der Vortragsreihe der Systemhaus for you GmbH Heidenkampsweg 66 20097 Hamburg Bei

Mehr

Security: IT-Verantwortliche mit einem Bein im Gefängnis?

Security: IT-Verantwortliche mit einem Bein im Gefängnis? Rechtslage in der IT-Security Security: IT-Verantwortliche mit einem Bein im Gefängnis? RA Horst Speichert www.decus.de RA Speichert 2005 1 Horst Speichert e s b Rechtsanwälte Stuttgart Rechtsanwalt Lehrbeauftragter

Mehr

E-Mail-Archivierung: Rechtliche Pflichten, rechtliche Risiken

E-Mail-Archivierung: Rechtliche Pflichten, rechtliche Risiken E-Mail-Archivierung: Rechtliche Pflichten, rechtliche Risiken 16. Starnberger IT-Forum 10. Juli 2013 RA Helge Kauert, LL.M. Kinast & Partner Rechtsanwälte 1 Überblick 1. Vorstellung 2. Gesetzliche Vorgaben

Mehr

Identity Management und Gesetz: Spannungsfeld Compliance <-> Datenschutz

Identity Management und Gesetz: Spannungsfeld Compliance <-> Datenschutz Mittelstandsdialog Informationssicherheit 6. Mai 2010 Identity Management und Gesetz: Spannungsfeld Compliance Datenschutz RA Dr. Michael Karger Wendler Tremml Rechtsanwälte, München NIFIS e.v. Nationale

Mehr

Alles sicher? Backup und Archivierung aus rechtlicher Sicht. Gelsenkirchen, 25. März 2014. Rechtsberatung. Steuerberatung. Luther.

Alles sicher? Backup und Archivierung aus rechtlicher Sicht. Gelsenkirchen, 25. März 2014. Rechtsberatung. Steuerberatung. Luther. Alles sicher? Backup und Archivierung aus rechtlicher Sicht Dr. Maximilian Dorndorf Johanna Langer, LL.M. Gelsenkirchen, 25. März 2014 Rechtsberatung. Steuerberatung. Luther. Agenda I. Begriffsbestimmungen

Mehr

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g)

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Dieter Braun IT-Sicherheit & Datenschutz Gliederung Einführung 3 Personenbezogene Daten 7 Die Pflichtenverteilung 10 Daten aktiv schützen

Mehr

IT Management 2014. Rechtliche Aspekte des IT Managements am Beispiel des Umgangs mit E-Mail Systemen

IT Management 2014. Rechtliche Aspekte des IT Managements am Beispiel des Umgangs mit E-Mail Systemen IT Management 2014 Rechtliche Aspekte des IT Managements am Beispiel des Umgangs mit E-Mail Systemen Rechtsanwalt Hans Sebastian Helmschrott, LL.M Eur. Rechtsanwältin Patricia Lotz Rechtsquellen des IT-Managements:

Mehr

E-Mail-Archivierung rechtskonform gestalten. Whitepaper für Unternehmen und Verantwortliche

E-Mail-Archivierung rechtskonform gestalten. Whitepaper für Unternehmen und Verantwortliche 2014 E-Mail-Archivierung rechtskonform gestalten. Whitepaper für Unternehmen und Verantwortliche Severin Maier und Maik Kleindienst Thilo Märtin & Collegen Rechtsanwalts GmbH Version Version Datenname

Mehr

Bayerisches Landesamt für Datenschutzaufsicht

Bayerisches Landesamt für Datenschutzaufsicht Bayerisches Landesamt für Datenschutzaufsicht 2 Datenschutz im Unternehmen Umgang mit Mitarbeiterdaten Neuregelung, Folgen, Praxisrelevante Fälle 1 3 Personenbezogene Daten Einzelangaben über persönliche

Mehr

E-MAIL-ARCHIVIERUNG GESETZLICHE VORGABEN UND RECHTLICHE PROBLEME

E-MAIL-ARCHIVIERUNG GESETZLICHE VORGABEN UND RECHTLICHE PROBLEME E-MAIL-ARCHIVIERUNG GESETZLICHE VORGABEN UND RECHTLICHE PROBLEME Rechtsanwalt Dr. jur. Walter Felling Dipl.-Betriebswirt Referent: Rechtsanwalt Dr. jur. Walter Felling Dipl.-Betriebswirt Ausbildung: Industriekaufmann;

Mehr

Was ein Administrator über Datenschutz wissen muss

Was ein Administrator über Datenschutz wissen muss Was ein Administrator über Datenschutz wissen muss Berlin, 14.05.2014 Rechtsanwalt Thomas Feil Fachanwalt für IT-Recht und Arbeitsrecht Datenschutzbeauftragter TÜV 1 "Jeder Mensch soll grundsätzlich selbst

Mehr

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht . Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht Themenschwerpunkt 1. Wer braucht einen Datenschutzbeauftragter? Unternehmen, die personenbezogene Daten automatisiert erheben, verarbeiten

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

Arbeitnehmerdatenschutz Arbeitsrechtliche Aspekte

Arbeitnehmerdatenschutz Arbeitsrechtliche Aspekte Arbeitnehmerdatenschutz Arbeitsrechtliche Aspekte Rechtsanwalt Dr. Oliver Grimm Fachanwalt für Arbeitsrecht München 26. November 2009 Überblick Was gilt aktuell für den Umgang mit Mitarbeiterdaten? Wann

Mehr

HerzlichWillkommen. ABI-Partnertage 2013, Vortrag Stefan Herold, Aarcon GbR Unternehmensberatung, München 1 von 16

HerzlichWillkommen. ABI-Partnertage 2013, Vortrag Stefan Herold, Aarcon GbR Unternehmensberatung, München 1 von 16 HerzlichWillkommen ABI-Partnertage 2013, Vortrag Stefan Herold, Aarcon GbR Unternehmensberatung, München 1 von 16 Datenschutz bei Fernzugriff; Risiken und Lösung stefan.herold@aarcon.net www.aarcon.net

Mehr

Elektronische Rechnungen Von Rechtsanwalt Dr. Ivo Geis

Elektronische Rechnungen Von Rechtsanwalt Dr. Ivo Geis Elektronische Rechnungen Von Rechtsanwalt Dr. Ivo Geis Die Rechnung ist Kernelement des Mehrwertsteuersystems in Europa, denn sie gilt als Beleg für das Recht des Käufers zum Vorsteuerabzug. Der wachsende

Mehr

2008 RA Speichert. IT-Rechtsleitfaden

2008 RA Speichert. IT-Rechtsleitfaden 2008 RA Speichert IT-Rechtsleitfaden Autor Rechtsanwalt, Kanzlei esb in Stuttgart, spezialisiert auf IT-Recht Seminarleiter Internet-Recht, IT-Sicherheit, Datenschutz Ausbilder für Datenschutzbeauftragte

Mehr

Datenschutz und Datensicherheit

Datenschutz und Datensicherheit Datenschutz und Datensicherheit Gliederung 1. Datenschutz 2. Datensicherheit 3. Datenschutz und sicherheit in der Verbandsarbeit 12.01.14 Raphael Boezio 2 Datenschutz Was ist Datenschutz? Datenschutz ist

Mehr

Datenschutzvereinbarung

Datenschutzvereinbarung Datenschutzvereinbarung Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen dem Nutzer der Plattform 365FarmNet - nachfolgend Auftraggeber genannt - und

Mehr

E-Mail: Archivieren, Beweissichern, Filtern Von Rechtsanwalt Dr. Ivo Geis

E-Mail: Archivieren, Beweissichern, Filtern Von Rechtsanwalt Dr. Ivo Geis E-Mail: Archivieren, Beweissichern, Filtern Von Rechtsanwalt Dr. Ivo Geis Geschäftsprozesse werden zunehmend durch E-Mail-Kommunikation abgewickelt. E-Mail- Dokumente sind nach den Grundsätzen des Handelsrechts

Mehr

IT-RECHTLICHE ANFORDERUNGEN HAFTUNGSFALLEN FÜR UNTERNEHMEN

IT-RECHTLICHE ANFORDERUNGEN HAFTUNGSFALLEN FÜR UNTERNEHMEN IT-RECHTLICHE ANFORDERUNGEN HAFTUNGSFALLEN FÜR UNTERNEHMEN Stephan Schmidt Rechtsanwalt und Fachanwalt für IT-Recht IHK Hanau-Gelnhausen-Schlüchtern 12. November 2014 Agenda I. Begriffe II. Anwendbare

Mehr

Datenschutz im Arbeitsverhältnis

Datenschutz im Arbeitsverhältnis Datenschutz im Arbeitsverhältnis Cloud Computing versus Datenschutz, RAin Karoline Brunnhübner Folie 0 / Präsentationstitel / Max Mustermann TT. Monat 2010 Allgemeine Grundlagen des Datenschutzes Rechtsquellen

Mehr

Winfried Rau Tankstellen Consulting

Winfried Rau Tankstellen Consulting Winfried Rau Tankstellen Consulting Teil 1 Wer muss einen Datenschutzbeauftragten bestellen?... 4f BDSG, nicht öffentliche Stellen die personenbezogene Daten automatisiert verarbeiten innerhalb eines Monats

Mehr

Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster)

Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster) Anlage 5: Mitarbeiter-Merkblatt zum Datenschutz Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster) Bei Ihrer Tätigkeit in unserem Unternehmen werden Sie zwangsläufig mit personenbezogenen Daten

Mehr

BDSG-Novelle I und II BDSG-Novelle I und II Eine Zusammenfassung der wichtigsten Neuerrungen Okt-12 Rechtsanwalt Matthias Marzluf 1 BDSG-Novelle I und II BDSG-Novelle II Okt-12 Rechtsanwalt Matthias Marzluf

Mehr

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Wann ist das Bundesdatenschutzgesetz anwendbar? Das Bundesdatenschutzgesetz (BDSG) gilt gemäß 1 Abs. 2 Nr. 3 BDSG für alle nicht öffentlichen

Mehr

1. Aufbewahrungsfristen für Personalakten

1. Aufbewahrungsfristen für Personalakten Aufbewahrungsfristen für Personalakten X AUFBEWAHRUNG, ARCHIVIERUNG, BEWEIS- VERWERTBARKEIT, ORDNUNGSMÄßIGKEIT 1. Aufbewahrungsfristen für Personalakten Ein allgemeiner Rahmen für die Dauer der Personalaktenführung

Mehr

NOVELLIERUNG DES BUNDESDATENSCHUTZGESETZES ÄNDERUNGEN SEPTEMBER 2009 TEIL 1: AUFTRAGSDATENVERARBEITUNG

NOVELLIERUNG DES BUNDESDATENSCHUTZGESETZES ÄNDERUNGEN SEPTEMBER 2009 TEIL 1: AUFTRAGSDATENVERARBEITUNG NOVELLIERUNG DES BUNDESDATENSCHUTZGESETZES ÄNDERUNGEN SEPTEMBER 2009 TEIL 1: AUFTRAGSDATENVERARBEITUNG Autoren: Daniela Weller (DIIR e.v.) In Zusammenarbeit mit Uwe Dieckmann (GDD e.v.) und Volker Hampel

Mehr

Ausgewählte Rechtsfragen der IT-Security

Ausgewählte Rechtsfragen der IT-Security Ausgewählte Rechtsfragen der IT-Security Steht man als Verantwortlicher für IT-Security bereits mit einem Bein im Gefängnis? Dr. Markus Junker, Rechtsanwalt markus.junker@de.pwc.com HEUSSEN Rechtsanwaltsgesellschaft

Mehr

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Rechtsgrundlagen der IT-Sicherheit Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Einführungsbeispiel OLG Hamm MMR 2004, 487 Problem: Existiert ein Regelwerk, dessen Beachtung die zivil-

Mehr

E-Mailarchivierung für den Mittelstand

E-Mailarchivierung für den Mittelstand E-Mailarchivierung für den Mittelstand SaaS-Lösung von PIRONET NDH PIRONET NDH Datacenter GmbH 1 E-Mailarchivierung Agenda: E-Mailarchivierung warum? Wer muss archivieren? Welche E-Mails sind zu archivieren?

Mehr

Datenschutz. IT-Sicherheitsbotschafter Aufbauseminar 3, am 15.05.2014 in Hamburg-Harburg. Petra Schulze

Datenschutz. IT-Sicherheitsbotschafter Aufbauseminar 3, am 15.05.2014 in Hamburg-Harburg. Petra Schulze Datenschutz IT-Sicherheitsbotschafter Aufbauseminar 3, am 15.05.2014 in Hamburg-Harburg Petra Schulze Fachverband Motivation Daten werden zunehmend elektronisch gespeichert und übermittelt Daten können

Mehr

»Bring Your Own Device«(BYOD)

»Bring Your Own Device«(BYOD) »Bring Your Own Device«(BYOD) Rechtliche Aspekte und praktische Tipps Tagung der Working Group 2 Bonn den 26.11.2013 Dennis Heinemeyer Institut für Rechtsinformatik Leibniz Universität Hannover AGENDA

Mehr

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Der Auftraggeber beauftragt den Auftragnehmer FLYLINE Tele Sales & Services GmbH, Hermann-Köhl-Str. 3, 28199 Bremen mit

Mehr

E-Mail-Archivierung: Vermeidung von rechtlichen Stolperfallen

E-Mail-Archivierung: Vermeidung von rechtlichen Stolperfallen Falls nötig Untertitel, Datum oder ähnliches 0 E-Mail-Archivierung: Vermeidung von rechtlichen Stolperfallen Business Excellence Days 2015 Dr. Oliver Hornung, Partner, SKW Schwarz Rechtsanwälte Falls 1

Mehr

Zugangskontrolle + Videoüberwachung rechtssicher umsetzen. RA Horst Speichert

Zugangskontrolle + Videoüberwachung rechtssicher umsetzen. RA Horst Speichert Zugangskontrolle + Videoüberwachung rechtssicher umsetzen RA Horst Speichert 1 Horst Speichert e s b Rechtsanwälte Stuttgart Rechtsanwalt Lehrbeauftragter Universität Stuttgart E-Mail: horst@speichert.de

Mehr

Folgen von Datensicherheits- und Datenschutzverstößen für den Geschäftsführer sowie strafrechtliche Verantwortung im IP & IT

Folgen von Datensicherheits- und Datenschutzverstößen für den Geschäftsführer sowie strafrechtliche Verantwortung im IP & IT Folgen von Datensicherheits- und Datenschutzverstößen für den Geschäftsführer sowie strafrechtliche Verantwortung im IP & IT Fachtagung Datensicherheit für den Mittelstand 23. Januar 2014 IHK zu Dortmund

Mehr

Position. Arbeitnehmerdatenschutz rechtssicher gestalten. Stand: März 2014 www.vbw-bayern.de

Position. Arbeitnehmerdatenschutz rechtssicher gestalten. Stand: März 2014 www.vbw-bayern.de Position Arbeitnehmerdatenschutz rechtssicher gestalten Stand: März 2014 www.vbw-bayern.de Vorwort X Vorwort Zehn Forderungen für einen praxisgerechten Beschäftigtendatenschutz Die vbw Vereinigung der

Mehr

>Revisionssichere E-Mail-Archivierung Alles was Recht ist!

>Revisionssichere E-Mail-Archivierung Alles was Recht ist! >Revisionssichere E-Mail-Archivierung Alles was Recht ist! >Die Umstellung auf elektronische Kommunikationsformen darf nicht darüber hinwegtäuschen, dass die umfangreichen gesetziichen Archivierungspflichten

Mehr

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI)

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Hinweise zur Vorabkontrolle nach dem Berliner Datenschutzgesetz (BlnDSG) Das am 30.7.2001 novellierte Berliner Datenschutzgesetz

Mehr

IT-Sicherheitsmanagement und Haftungsrisiken für Geschäftsführer

IT-Sicherheitsmanagement und Haftungsrisiken für Geschäftsführer Wolfgang Straßer Geschäftsführer Dipl.-Kfm. IT-Sicherheitsmanagement und Haftungsrisiken für Geschäftsführer @-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen +49 (02175) 16 55 0 @-yet Geschäftsbereiche

Mehr

Grundlagen Datenschutz

Grundlagen Datenschutz Grundlagen Datenschutz Michael Bätzler TÜV Datenschutz Auditor Externer Datenschutzbeauftragter IHK xdsb Datenschutz Greschbachstraße 6a 76229 Karlsruhe Telefon: 0721/82803-50 Telefax: 0721/82803-99 www.xdsb.de

Mehr

IT-Sicherheit Das müssen Sie wissen! Ein rechtlicher Leitfaden für Unternehmer und IT-Beauftragte. puresecurity

IT-Sicherheit Das müssen Sie wissen! Ein rechtlicher Leitfaden für Unternehmer und IT-Beauftragte. puresecurity IT-Sicherheit Das müssen Sie wissen! Ein rechtlicher Leitfaden für Unternehmer und IT-Beauftragte puresecurity 2 puresecurity Inhalt Über den Autor...2 1.0 Mit Sicherheit Recht behalten!...3 1.1 Bedrohungsszenario...3

Mehr

Überblick über existierende Vorschriften, Gesetze und Normen

Überblick über existierende Vorschriften, Gesetze und Normen 5 Überblick über existierende Vorschriften, Gesetze und Normen Als Reaktion auf die ansteigende Anzahl der bekannt werdenden Fälle skandalöser Betriebsführungen, hat der Gesetzgeber eine Fülle von neuen

Mehr

9 Mitarbeiterscreenings

9 Mitarbeiterscreenings 9 Mitarbeiterscreenings Mitarbeiterscreenings werden in Unternehmen immer häufiger eingesetzt. Screenings sind Rasterfahndungen, bei denen verschiedene personenbezogene Daten der Mitarbeiter nach bestimmten

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

IT-Sicherheit und Datenschutz im Cloud Computing

IT-Sicherheit und Datenschutz im Cloud Computing Definition von bezeichnet das dynamische Bereitstellen von Ressourcen wie Rechenkapazitäten, Datenspeicher oder fertiger Programmpakete über Netze, insbesondere über das Internet. und dazu passende Geschäftsmodelle

Mehr

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports 1. Anwendungsbereich Im Rahmen des Supports für das JURION Portal, die jdesk-software einschließlich

Mehr

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch? Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220

Mehr

Auftrag gemäß 11BDSG Vereinbarung zwischen als Auftraggeber und der Firma Direct-Mail & Marketing GmbH als Auftragnehmer

Auftrag gemäß 11BDSG Vereinbarung zwischen als Auftraggeber und der Firma Direct-Mail & Marketing GmbH als Auftragnehmer Auftrag gemäß 11BDSG Vereinbarung zwischen als Auftraggeber und der Firma Direct-Mail & Marketing GmbH als Auftragnehmer 1. Gegenstand und Dauer des Auftrages Der Auftragnehmer übernimmt vom Auftraggeber

Mehr

IT-Sicherheit und Compliance. Dr. Oliver Hornung SKW Schwarz Rechtsanwälte Dr. Michael Kollmannsberger Protea Networks Michael Seele Protea Networks

IT-Sicherheit und Compliance. Dr. Oliver Hornung SKW Schwarz Rechtsanwälte Dr. Michael Kollmannsberger Protea Networks Michael Seele Protea Networks IT-Sicherheit und Compliance Dr. Oliver Hornung SKW Schwarz Rechtsanwälte Dr. Michael Kollmannsberger Protea Networks Michael Seele Protea Networks Agenda 1. Auftragsdatenverarbeitung 2. Änderung Bedrohungsverhalten

Mehr

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen Dr. Christian Thiel Institut für Informations- und Prozessmanagement FHS ST. Gallen Und was meinst Du mit IT Sicherheit? Was ist IT-Sicherheit aus rechtlicher Sicht? Definition in 2 Abs. 2 BSI-Gesetz:

Mehr

Externer Datenschutz. ... Chancen durch. Outsourcing PRISAFE DATENSCHUTZ

Externer Datenschutz. ... Chancen durch. Outsourcing PRISAFE DATENSCHUTZ Externer Datenschutz... Chancen durch Outsourcing PRISAFE DATENSCHUTZ Inhaltsverzeichnis Der Datenschutzbeauftragte Für welche Variante entscheiden? Der externe Datenschutzbeauftragte Kosten für Datenschutz

Mehr

Neue Herausforderung für kleine und mittlere Unternehmen.

Neue Herausforderung für kleine und mittlere Unternehmen. E-Mail-Archivierung Neue Herausforderung für kleine und mittlere Unternehmen. Dipl. Ing. Detlev Bonkamp E-Mail-Archivierung: Motivation Gesetzliche Vorgaben GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit

Mehr

Richtlinie zur Informationssicherheit

Richtlinie zur Informationssicherheit Richtlinie zur Informationssicherheit Agenda Einführung Gefahrenumfeld Warum benötige ich eine Richtlinie zur IT-Sicherheit? Grundlagen Datenschutz Best-Practice-Beispiel Vorgehensweise Richtlinie zur

Mehr

!"#$ %!" #$ % " & ' % % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 5 )/ )

!#$ %! #$ %  & ' % % $ (  ) ( *+!, $ ( $ *+!-. % / ). ( , )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 $$ $ 4 9$ 4 5 )/ ) !"#$ %!" #$ % " & ' % &$$'() * % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 % / $-,, / )$ "$ 0 #$ $,, "$" ) 5 )/ )! "#, + $ ,: $, ;)!

Mehr

Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz

Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz 1. Was versteht man unter der "Verpflichtung auf das Datengeheimnis"? Die Verpflichtung auf das Datengeheimnis

Mehr

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits www.ds-easy.de Seminare für Datenschutzbeauftragte Seite 2 von 5 Egal, ob Sie sich weiterqualifizieren

Mehr

Datenschutz beim Einsatz von Internet, Intranet und E-Mail am Arbeitsplatz

Datenschutz beim Einsatz von Internet, Intranet und E-Mail am Arbeitsplatz Cristina Baier Datenschutz beim Einsatz von Internet, Intranet und E-Mail am Arbeitsplatz Verlag Dr. Kovac Hamburg 2010 -IX- Inhaltsverzeichnis Literaturverzeichnis XVII Einleitung.. > «>..»..». 1 1. Teil:

Mehr

Inhalt: 1. Gründe für die Einhaltung datenschutzrechtlicher Bestimmungen... 7. 2. Die Datenverarbeitung nach dem Bundesdatenschutzgesetz (BDSG)...

Inhalt: 1. Gründe für die Einhaltung datenschutzrechtlicher Bestimmungen... 7. 2. Die Datenverarbeitung nach dem Bundesdatenschutzgesetz (BDSG)... 2 Inhalt: 1. Gründe für die Einhaltung datenschutzrechtlicher Bestimmungen... 7 1. Gesetzliche Verpflichtung... 7 2. Vertragliche Verpflichtungen... 7 3. Staatliche Sanktionsmöglichkeiten... 7 4. Schadensersatzansprüche...

Mehr

Datenschutz ist Persönlichkeitsschutz

Datenschutz ist Persönlichkeitsschutz Was ist Datenschutz? Personen sollen vor unbefugter Verwendung oder Weitergabe ihrer persönlichen Daten geschützt werden. Datenschutz ist Persönlichkeitsschutz Verpflichtung auf das Datengeheimnis Was

Mehr

Rechtliche Fallstricke im Rechenzentrum

Rechtliche Fallstricke im Rechenzentrum Rechtliche Fallstricke im Rechenzentrum Datenschutz Haftung für Inhalte Spam und E-Mail-Filterung Dr. Hendrik Schöttle Rechtsanwalt Fachanwalt für IT-Recht 24. Juni 2010 Übersicht Datenschutz Haftung für

Mehr

Compliance im Rechnungswesen Anforderungen an die IT

Compliance im Rechnungswesen Anforderungen an die IT Information Risk Management Compliance im Rechnungswesen Anforderungen an die IT Dietmar Hoffmann Köln, 3. Mai 2007 ADVISORY Inhalt 1 Überblick 2 Rechtliche Rahmenbedingungen 3 Auswirkungen 4 Prüfungen

Mehr

Vorabkontrolle gemäß 4d Abs. 5 BDSG

Vorabkontrolle gemäß 4d Abs. 5 BDSG - Checkliste + Formular - Vorabkontrolle gemäß 4d Abs. 5 BDSG Version Stand: 1.0 07.08.2014 Ansprechpartner: RA Sebastian Schulz sebastian.schulz@bevh.org 030-2061385-14 A. Wenn ein Unternehmen personenbezogene

Mehr

Der gläserne Arbeitnehmer. Möglichkeiten, Notwendigkeiten und Grenzen der Überwachung von Arbeitnehmern bei der EDV-Nutzung

Der gläserne Arbeitnehmer. Möglichkeiten, Notwendigkeiten und Grenzen der Überwachung von Arbeitnehmern bei der EDV-Nutzung Der gläserne Arbeitnehmer Möglichkeiten, Notwendigkeiten und Grenzen der Überwachung von Arbeitnehmern bei der EDV-Nutzung Bielefeld, 27.11.2007 RA Kai M. Simon, Bielefeld A. VORSTELLUNG Kai M. Simon Rechtsanwalt

Mehr

Hinweise zum Erstellen eines Verfahrensverzeichnisses

Hinweise zum Erstellen eines Verfahrensverzeichnisses Hinweise zum Erstellen eines Verfahrensverzeichnisses Eine Information des Datenschutzbeauftragten der PH Freiburg Stand: 11.03.2010 Inhalt Hinweise zum Erstellen eines Verfahrensverzeichnisses... 1 Vorbemerkung...

Mehr

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Rechtsanwalt Marcus Beckmann Beckmann und Norda - Rechtsanwälte Rechtsanwalt Marcus Beckmann Rechtsanwalt Marcus

Mehr

Praktische Rechtsprobleme der Auftragsdatenverarbeitung

Praktische Rechtsprobleme der Auftragsdatenverarbeitung Praktische Rechtsprobleme der Auftragsdatenverarbeitung Linux Tag 2012, 23.05.2012 Sebastian Creutz 1 Schwerpunkte Was ist Auftragsdatenverarbeitung Einführung ins Datenschutzrecht ADV in der EU/EWR ADV

Mehr

Verpflichtung auf das Datengeheimnis

Verpflichtung auf das Datengeheimnis BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT Verpflichtung auf das Datengeheimnis Herausgeber: Bayerisches Landesamt für Datenschutzaufsicht Promenade 27 91522 Ansbach Telefon: (0981) 53-1300 Telefax:

Mehr

Wir machen Sachen! E-Mail rechtsicher Archivieren! Wie? ZAPw@re

Wir machen Sachen! E-Mail rechtsicher Archivieren! Wie? ZAPw@re E-Mail rechtsicher Archivieren! Wie? ZAPw@re Inhalt 1. Hintergrund & Allgemeines 2. Hard-Facts zur rechtssicheren E-Mail-Archivierung in Kurzform a. Für wen gilt die Archivierungspflicht? b. Für welche

Mehr

5. Ortstagung Kiel am 12. März 2014

5. Ortstagung Kiel am 12. März 2014 5. Ortstagung Kiel am 12. März 2014 I. Begrüßung Der Einladung zur 5. Ortstagung des Deutschen Arbeitsgerichtsverbands e. V. in Kiel im Saal des Hauses des Sports folgten 55 Teilnehmerinnen und Teilnehmer.

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

Datenschutz. Vortrag am 27.11.2012. GmbH Datenschutz und IT - Sicherheit. Sutthauser Straße 285 49080 Osnabrück

Datenschutz. Vortrag am 27.11.2012. GmbH Datenschutz und IT - Sicherheit. Sutthauser Straße 285 49080 Osnabrück Datenschutz bei mobilen Endgeräten Vortrag am 27.11.2012 Sutthauser Straße 285 49080 Osnabrück GmbH Datenschutz und IT - Sicherheit Telefon: 0541 600 79 296 Fax: 0541 600 79 297 E-Mail: Internet: datenschutz@saphirit.de

Mehr

Die Haftung des Geschäftsführers für Organisationsmängel

Die Haftung des Geschäftsführers für Organisationsmängel Die Haftung des Geschäftsführers für Organisationsmängel Organisationspflichten, Wissenszurechnung und Haftung des Unternehmens IHK zu Münster 22.9.2015 RA Andreas Göbel Fachanwalt für Informationstechnologierecht

Mehr

Digitale Archivierung

Digitale Archivierung 28.10.2002 Digitale Archivierung Vorlesung Informations-, Informatik- und Telekommunikationsrecht WS02/03 Juristische Fakultät, Universität Basel David Rosenthal 2 Was damit tun? - Ausdrucken und aufbewahren?

Mehr

Herzlich willkommen! Christian Nowitzki

Herzlich willkommen! Christian Nowitzki Herzlich willkommen! Christian Nowitzki Datenschutzbeauftragter / Sicherheitsberater E-Mail-Archivierung Ein kurzer Überblick Vorwort Warum E-Mail Archivierung? - Jeder Kaufmann hat nach 257 Abs. 1 HGB

Mehr

Was Sie über Datenschutz wissen sollten!

Was Sie über Datenschutz wissen sollten! Was Sie über Datenschutz wissen sollten! Präsentation: 10.10.2014 1 Zu meiner Person: Lars Querbach Geschäftsführer Das LohnTEAM GmbH externer Datenschutzbeauftragter TÜV Datenschutz-Auditor TÜV Personalfachkaufmann

Mehr

Gesetzliche Grundlagen des Datenschutzes

Gesetzliche Grundlagen des Datenschutzes Gesetzliche Grundlagen des Datenschutzes Informationelle Selbstbestimmung Bundesdatenschutzgesetz Grundgesetz Gesetzliche Grundlagen des Datenschutzes allg. Persönlichkeitsrecht (Art. 1, 2 GG) Grundrecht

Mehr

Abmahnung, Kündigung & Co.

Abmahnung, Kündigung & Co. Abmahnung, Kündigung & Co. Rechte des Arbeitgebers bei Mitarbeiterdelikten Rechtsanwalt u. Fachanwalt für Arbeitsrecht Prof. Dr. Daniel Knickenberg Anwaltssozietät Leinen & Derichs, Köln Cleverstr. 16,

Mehr

Nicht-technische Aspekte der IT-Sicherheit

Nicht-technische Aspekte der IT-Sicherheit Dipl.-Math. Wilfried Gericke Vortrag für das Rheinlandtreffen 2006 (07.-08.11.2006) Motivation Seite 2 www.decus.de 1 Inhalt: - IT-Sicherheit als Teil der Unternehmensführung - - IT-Sicherheitsrichtlinie

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 9. Übungsblattes Praktischer Datenschutz

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 9. Übungsblattes Praktischer Datenschutz und der IT-Sicherheit Lösungen des 9. Übungsblattes Praktischer Datenschutz 9.1 Gegensätze von Datenschutz und IT-Sicherheit Datenschutz: Grundsatz der Datensparsamkeit IT-Sicherheit: Datensicherung durch

Mehr

Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de

Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de 1 1. Datenschutzrechtliche Anforderungen an die IT-Sicherheit 2. Gesetzliche Anforderungen an Auswahl

Mehr

Zum aktuellen Stand von Social-Media-Guidelines

Zum aktuellen Stand von Social-Media-Guidelines Hans Böckler-Stiftung: Fachtagung Social Media in der internen Zusammenarbeit Was ist bisher geregelt? Zum aktuellen Stand von Social-Media-Guidelines 29.06.2015 - Frankfurt AfA Arbeitsrecht für Arbeitnehmer

Mehr

Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung

Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung Matthias Bergt Rechtsanwälte v. Boetticher Hasse Lohmann www.dsri.de Begriff der Auftragsdatenverarbeitung, 11 BDSG Auslagerung von Verarbeitungsvorgängen

Mehr

Datenschutz als Qualitäts- und Wettbewerbsfaktor

Datenschutz als Qualitäts- und Wettbewerbsfaktor Datenschutz als Qualitäts- und Wettbewerbsfaktor RA Andreas Jaspers Geschäftsführer der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.v. Die GDD e.v. Die GDD e.v. tritt als gemeinnütziger Verein

Mehr

Der betriebliche Datenschutzbeauftragte

Der betriebliche Datenschutzbeauftragte Der betriebliche Datenschutzbeauftragte Durch die fortschreitende Verbreitung der automatischen Datenverarbeitung sind die Gefahren des Datenmissbrauchs stetig gestiegen. Bei der Begrenzung dieser Gefahr

Mehr

Zur Informationspflicht nach 42a Bundesdatenschutzgesetz (BDSG)

Zur Informationspflicht nach 42a Bundesdatenschutzgesetz (BDSG) DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ Zur Informationspflicht nach 42a Bundesdatenschutzgesetz (BDSG) (einschließlich einer Checkliste für die Mitteilung an die Aufsichtsbehörde) - Stand: 12. Dezember

Mehr

Vorlesungsreihe Datenschutzrecht am ITM der WWU Münster. Beschäftigtendatenschutz/Aufsichtsbehörden

Vorlesungsreihe Datenschutzrecht am ITM der WWU Münster. Beschäftigtendatenschutz/Aufsichtsbehörden Vorlesungsreihe Datenschutzrecht am ITM der WWU Münster Axel Trösken Leiter Recht & Compliance der The Phone House Telecom GmbH Münster, 21. Januar 2011 Seite 1 I. Einleitung Datenschutz profitierte in

Mehr

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte Risiken und Haftungsfragen für Sicherheits- und Führungskräfte mag. iur. Maria Winkler Geschäftsführerin der IT & Law Consulting GmbH SSI-Fachtagung vom 28.10.2010 Unternehmenssicherheit - Neue Herausforderungen

Mehr

Rechtliche Aspekte der Elektronischen Archivierung

Rechtliche Aspekte der Elektronischen Archivierung Kanzlei am Münster Dr. Krähe & Lindner Rechtsanwälte Dr. Christian Krähe 1 Ulrika Lindner 2 alle Amts- und Landgerichte RA Dr. Krähe auch Oberlandesgerichte Münsterplatz 5 D-78462 Konstanz 1 Standort Konstanz

Mehr

Datenschutzrecht in Österreich und Deutschland Ein Vergleich. RA Marcel Keienborg

Datenschutzrecht in Österreich und Deutschland Ein Vergleich. RA Marcel Keienborg Datenschutzrecht in Österreich und Deutschland Ein Vergleich RA Marcel Keienborg Zur Geschichte des Datenschutzes Die Wiege des Datenschutzes: In den USA (1960er/70 Jahre) Privacy Act of 1974 Debatten

Mehr

Corporate Privacy Management Group

Corporate Privacy Management Group CRM datenschutzkonform einsetzen Goldene Regeln für die Praxis Flughafen Münster/Osnabrück, 18. Juni 2009 1 Ihre Pilotin Judith Halama Datenschutzberaterin Externe Datenschutzbeauftragte Rechtsanwältin

Mehr

Die Agentur und der Datenschutz in der täglichen Arbeit RA Werner Fröschen Justiziar, Bereichsleiter Recht

Die Agentur und der Datenschutz in der täglichen Arbeit RA Werner Fröschen Justiziar, Bereichsleiter Recht Die Agentur und der Datenschutz in der täglichen Arbeit RA Werner Fröschen Justiziar, Bereichsleiter Recht 16.3.2015 IHK Karlsruhe, Vermittlerrecht Praxiswissen auf Bundesverband Deutscher Versicherungskaufleute

Mehr

Archiv Gesetzgebung: E-Mail-Archivierung in Deutschland. lnformationen zu den wichtigsten gesetzlichen Vorgaben für Unternehmen

Archiv Gesetzgebung: E-Mail-Archivierung in Deutschland. lnformationen zu den wichtigsten gesetzlichen Vorgaben für Unternehmen Archiv Gesetzgebung: E-Mail-Archivierung in Deutschland lnformationen zu den wichtigsten gesetzlichen Vorgaben für Unternehmen Contents Gesetze zum Thema E-Mail-Archivierung 3 Strafmaßnahmen und andere

Mehr

IT-Sicherheit. ein Thema für das Management? Herzlich Willkommen. IT-Security für das Management. Vortrag vom 17.06.2004 netformat GmbH

IT-Sicherheit. ein Thema für das Management? Herzlich Willkommen. IT-Security für das Management. Vortrag vom 17.06.2004 netformat GmbH IT-Sicherheit ein Thema für das Management? Herzlich Willkommen Zirngibl Langwieser Inhaltsübersicht 1. Pflichten des Managements in Bezug auf die IT-Sicherheit 2. Instrumente der Pflichterfüllung und

Mehr

Leitfaden zur rechtssicheren E-Mail-Archivierung in Österreich

Leitfaden zur rechtssicheren E-Mail-Archivierung in Österreich Leitfaden zur rechtssicheren E-Mail-Archivierung in Österreich Die Archivierung von E-Mails bietet nicht nur zahlreiche technische und wirtschaftliche Vorteile, sie stellt für Unternehmen zudem eine zwingende

Mehr

Newsletter Juni 2011 Der betriebliche Datenschutzbeauftragte

Newsletter Juni 2011 Der betriebliche Datenschutzbeauftragte Newsletter Juni 2011 Der betriebliche Datenschutzbeauftragte Das Thema Datenschutz rückt durch die Datenpannen in jüngster Vergangenheit und die damit verbundene mediale Aufmerksamkeit immer mehr in das

Mehr

- Vertrauen durch Transparenz

- Vertrauen durch Transparenz !"" # $%&''()*+," -.%&''()*+!*( /01%#2 30#4 5607#689 - Vertrauen durch Transparenz Grundlegende Informationen für eine Datenschutz-Policy sowie Formulierungen abrufbar unter www.gdd.de (Rubrik Aktuelles

Mehr

Aktuelles zum Arbeitnehmerdatenschutz politische Glasperlenspiele?

Aktuelles zum Arbeitnehmerdatenschutz politische Glasperlenspiele? Aktuelles zum Arbeitnehmerdatenschutz politische Glasperlenspiele? Dr. Anja Mengel, LL.M. Rechtsanwältin und Fachanwältin für Arbeitsrecht Universität Karlsruhe (TH), ZAR 20. Oktober 2009 Übersicht Fakten

Mehr